咨讯 网络安全:经销商和加盟商需引起注意

25 8月, 2022

经销商和加盟商应协手统一其线上活动,为特许经营业的高价值专有商业和消费者数据提供安全和控制。

Marc LiebersteinRaymond Aghaian 撰写

大约一年前,本专栏撰写了有关隐私和特许经营的文章,并讨论了经销商和加盟商需要采取各种方式,以加强他们遵守各州颁布的保护消费者隐私数据的法律。 在特许经营领域,你会越来越多地听到有关安全漏洞、数据泄露和其他类型的数据盗窃。这是因为特许经营系统通常是作为一群相互关联的加盟商运作的,所有加盟商都收集存储各种消费者和个人数据并传输给经销商。也就是说,经销商和加盟商都很容易成为网络盗窃的目标。

2018年12月Cybint News报道称 “43%的网络攻击目标是小企业。64%的公司遭遇过网络攻击。62%的公司遭遇过网络钓鱼攻击和社交工程陷阱。59%的公司遭遇过恶意代码和僵尸网络,51%的公司遭遇过阻断服务攻击。” Cybersecurity: A Global Priority and Career Opportunity (ung.edu). 无论是大型还是小型的经销商都可能花费大量资金进行违约补偿或是偿付违约索赔。IBM报告称,识别并阻止一次数据泄露平均需要280天,“数据泄露的平均成本从2021年的424万美元增加至2022年的435万美元,增加了2.6%。与2020年报告中的386万美元相比,平均成本上升了12.7%。” Cost of a Data Breach Report 2022 | IBM.

2016年Wendy’s的数据泄露事件为经销商们重视网络安全问题以及尽早采取行动提供了一个好的契机。在Wendy’s一案中,黑客获得了Wendy’s的一些第三方代理商凭证,并访问了包含敏感客户信息的经销商系统,这些客户信息包括姓名、信用卡/借记卡和其他个人身份信息。黑客使用一种破坏随机存取存储器(RAM-scraping)的恶意软件程序,影响了1000多家特许经营的餐厅系统。Wendy ‘s最终花费5300多万美元解决了这个问题。

那么,特许经营系统目前面临哪些潜在的网络安全威胁呢? 一种威胁是数据库攻击,黑客进入公司的记录,获取机密/专有信息,然后试图让公司支付勒索款否则将暴光公司在市场上的失利。统计数据显示,最近此类数据库攻击行为大幅增加。不仅仅是加盟店POS系统容易受到攻击,加盟店的内部网络、电子邮件系统和供应链网络也都是黑客的目标。在许多情况下,一旦黑客进入电子邮件系统,除了获得机密甚至商业秘密相关信息外,他们经常利用中间人进行攻击,违法分子将自己置于用户和应用程序之间,通过拦截对话,并指示不知情的用户将资金汇到非用户意愿的帐户上去。

如果经销商和加盟商没有良好的数据保护,安全策略和流程以及良好的安全软件,黑客就可能通过攻击网络找到弱点来利用公司的安全和软件系统。 恶意软件经常被黑客用于此目的(包括使用病毒),它可以减慢和/或阻止软件的正常运行。病毒也可用于破坏文件或数据库。 不得不支付赎金以换取删除恶意软件并让系统恢复正常运行。 经销商必须使他们的网络安全软件(包括恶意软件和病毒检测系统)保持最新状态。 并且必须不断提醒经销商们以及他们的加盟商和员工注意来源不明的可疑电子邮件,因为恶意软件和病毒攻击都经常通过电子邮件运行。实际上,网络钓鱼邮件通常用来将恶意软件或病毒释放到不知情的网络或数据库中。 在这种网络钓鱼场景中,黑客冒充合法个人或公司的身份,然后提示收件人点击链接,然后这个链接将恶意软件/病毒软件下载到网络上。

特许经营网络安全链中的另一个薄弱环节是密码。 特许经销商的管理人员和员工,以及他们的卖家/供应商可能会将他们的登录凭证输入到欺诈网站上,或者密码可能会直接从易受攻击的数据库帐户中被窃取。为避免这些密码问题,经销商、加盟商及其各自的员工和第三方供应商应使用可频繁更改密码和允许更多特别变量的随机密码的编码系统,以创建保密性更强的密码。

从法律的角度来看网络安全问题,经销商首先应注意实施强有力的网络安全策略和流程,不仅针对其业务和员工,还应强制加盟商及其员工遵守此类流程。接下来要考虑的问题是特许加盟协议在强制要求网络安全协议方面是否足够全面,该协议必须由加盟商实施,并由经销商和/或加盟商执行和监控。虽然经销商必须谨慎行事,不要过多控制加盟商的活动,以避免员工错误分类的索赔请求,但应在任何特许经营协议中明确强调特许经营协议中的义务,并在特许经营披露文件中对其进行披露,因为通常会产生与软件安装、培训和合规相关的费用。至少,特许经营协议应明确设定安全标准的“最低限度”,以遵守各种联邦法和州法所要求的“合理安全”的经营。经销商应考虑建立一个专门负责网络安全的团队,以管理数据保护,监控合规性,并在违规事件发生前或在任何违规事件的早期发现漏洞。经销商应要求并鼓励加盟商在运营自己的店铺时采用类似的网络安全协议。从经销商和加盟商的层面来看,应制定并实施数据泄露和补救策略以及流程,以应对随时或者可能发生的网络安全漏洞的情况。 举例来说,应该设有针对违规或安全事故的强制性报告规定; 发生违规及补救时双方之间的强制性合作规定;以及发生违规时哪方负责违规响应和公关的强制性规定。

特许经营中的网络安全问题不会消失。事实上,人们可能料想到会在未来听到更多的违规行为。经销商和加盟商应协手统一其线上活动,为特许经营业的高价值专有商业和消费者数据提供安全和控制。

Marc LiebersteinRaymond Aghaian是美国凯拓律师事务所的合伙人。